Безопасность без компромиссов.
Мы храним биткоин для людей, которые не доверяют свои сбережения неизвестной организации. Вот как мы защищаем то, что принадлежит вам.
Наш подход сочетает проверенные криптографические принципы с операционной дисциплиной. Каждая система спроектирована так, чтобы противостоять атакам, сохраняя при этом доступность для наших клиентов.
Как мы храним биткоин
Изолированное холодное хранение
Приватные ключи генерируются и хранятся офлайн на устройствах, которые никогда не были подключены к интернету или другим сетям. Подписание транзакций происходит в физической изоляции.
Хранение с мультиподписью
Вывод средств требует нескольких независимых подписей от ключей, которые хранятся в разных местах у разных людей. Ни один отдельный сотрудник или локация не может переместить средства самостоятельно.
Географическое распределение
Ключевой материал распределён по нескольким юрисдикциям, что гарантирует, что никакое локальное событие — будь то природная катастрофа или политическая ситуация — не сможет повлиять на нашу способность получить доступ к активам клиентов.
Аппаратные модули безопасности
Критические криптографические операции выполняются внутри защищённого от взлома оборудования, которое делает приватные ключи неэкспортируемыми и обеспечивает контроль доступа.
Архитектура нулевого доверия
Каждое действие в наших системах требует аутентификации и авторизации. Нет доверенных зон — только проверенные запросы, соответствующие политике.
Непрерывный мониторинг
Все системы отслеживаются круглосуточно на предмет аномалий. Подозрительная активность вызывает немедленную блокировку, требующую ручной проверки перед продолжением.
Безопасность аккаунта
Аутентификация с помощью passkey
Мы используем FIDO2 passkey в качестве основного метода аутентификации. Это означает отсутствие паролей для фишинга, SMS-кодов для перехвата и seed-фраз для раскрытия.
Одобрение вывода
Запросы на вывод подлежат временным задержкам и уведомлениям, которые дают вам время отреагировать, если запрос исходит не от вас.
Сохранённые адреса
Вывод можно ограничить предварительно одобренными адресами. Добавление новых адресов требует усиленной верификации и подлежит периоду ожидания.
Управление сессиями
Вы можете видеть все активные сессии, выходить из неизвестных устройств и ограничивать продолжительность сессий. Мы не сохраняем постоянные входы без вашего разрешения.
Журналы активности
Полная история активности аккаунта доступна в любое время. Вы можете точно видеть, когда был осуществлён доступ к вашему аккаунту и какие действия были выполнены.
Операционная безопасность
Технический контроль — это только половина уравнения. Другая половина — как мы работаем ежедневно.
Разделение обязанностей
Ни один человек не может выполнить чувствительную операцию самостоятельно. Критические действия требуют одобрения нескольких членов команды на разных должностях.
Принцип минимальных привилегий
Сотрудники имеют доступ только к тем системам, которые необходимы для их текущей работы. Доступ регулярно пересматривается и отзывается, когда больше не нужен.
Документированные процедуры
Все операции, связанные с безопасностью, выполняются по письменным процедурам. Чек-листы и одобрения создают аудиторский след и предотвращают халатность.
Проверка биографии
Весь персонал с доступом к чувствительным системам проходит тщательную проверку биографии и непрерывную верификацию.
Как мы поддерживаем дисциплину
Безопасность — это не функция; это практика. Вот как мы поддерживаем стандарты:
Узкий фокус
Мы предлагаем только хранение биткоина. Никаких кредитов, торговли или экспериментальных протоколов. Каждый сервис, который мы могли бы добавить — это поверхность атаки, которую мы решили не поддерживать.
Безопасность важнее скорости
Улучшения безопасности никогда не откладываются из-за коммерческих сроков. Если правильная реализация требует больше времени, мы берём это время.
Регулярные проверки
Мы проводим регулярные оценки безопасности, тестирование на проникновение и аудиты. Результаты влияют на нашу дорожную карту; ничто не откладывается в долгий ящик.
Скептицизм к новому
Новые технологии тщательно изучаются перед внедрением. Мы предпочитаем проверенные подходы новым, если только преимущество в безопасности не очевидно.
Ответственное раскрытие
Мы приветствуем ответственное сообщение об уязвимостях безопасности. Если вы считаете, что нашли проблему, мы хотим об этом узнать.
Как сообщить
Отправьте подробную информацию о потенциальных уязвимостях на security@ficha.com.
Для зашифрованной связи вы можете использовать наш PGP-ключ, доступный по адресу pgp-key.txt.
Наши просьбы
- Дайте нам разумное время для расследования и исправления до публичного раскрытия
- Не тестируйте способами, которые ухудшают работу сервисов или получают доступ к данным других клиентов
- Включите пошаговые инструкции для воспроизведения проблемы
- Сообщите нам, как вы хотели бы получить уведомление о результате
- Действуйте добросовестно и с разумным уважением к конфиденциальности и безопасности
Наши обязательства
- Подтвердить получение вашего сообщения в течение двух рабочих дней
- Держать вас в курсе хода расследования
- Признать ваш вклад (если желаете) после устранения проблемы
- Не преследовать юридически исследователей, которые соблюдают эту политику
Программа вознаграждений за ошибки
Мы предлагаем вознаграждения за квалифицированные находки в области безопасности, в зависимости от серьёзности и воздействия. Детали предоставляются в рамках процесса раскрытия.
Безопасная гавань
Исследование безопасности, проводимое добросовестно в соответствии с этими рекомендациями, авторизовано нами. Мы не будем возбуждать судебные дела или подавать жалобы за непреднамеренные нарушения политики, если вы соблюдаете описанные выше условия.
Информация в машиночитаемом формате доступна по адресу security.txt в соответствии с RFC 9116.
Если у вас есть вопросы о наших практиках безопасности, свяжитесь с нами в любое время.
